收藏
下载资源下载资源 加入VIP,免费下载

Aruba Controller基于Windows NPS实现8021 X认证Word格式.docx

上传人:b****4 文档编号:16348478 上传时间:2022-11-23 格式:DOCX 页数:17 大小:441.58KB
下载 相关 举报
Aruba Controller基于Windows NPS实现8021 X认证Word格式.docx_第1页
第1页 / 共17页
Aruba Controller基于Windows NPS实现8021 X认证Word格式.docx_第2页
第2页 / 共17页
Aruba Controller基于Windows NPS实现8021 X认证Word格式.docx_第3页
第3页 / 共17页
Aruba Controller基于Windows NPS实现8021 X认证Word格式.docx_第4页
第4页 / 共17页
Aruba Controller基于Windows NPS实现8021 X认证Word格式.docx_第5页
第5页 / 共17页
点击查看更多>>
下载资源
资源描述

Aruba Controller基于Windows NPS实现8021 X认证Word格式.docx

《Aruba Controller基于Windows NPS实现8021 X认证Word格式.docx》由会员分享,可在线阅读,更多相关《Aruba Controller基于Windows NPS实现8021 X认证Word格式.docx(17页珍藏版)》请在冰豆网上搜索。

Aruba Controller基于Windows NPS实现8021 X认证Word格式.docx

”技术部”组,可以访问所有。

测试内容:

●释放一个SSID,叫wifi-NPS,使用802.1X基于Radius服务器(window2008)进行统一认证管理,为了保证安全性,要求使用WPA2-AES加密无线数据。

●要求10vlan用户组登陆,获取vlan10地址,具有vlan10用户的权限;

●要求20vlan用户组登陆,获取vlan20地址,具有vlan20用户的权限;

●要求”技术部”用户组登陆,获取vlan30地址,具有vlan30用户的权限;

二:

测试设备:

1:

IMBT420笔记本2台,一台安装AD+IAS(windows2003),另一台做测试客户端(windowsXP);

2:

1台Aruba3200controller做NAS;

3:

1颗AP105。

三:

测试拓扑:

典型无线环境网络整体架构

实验环境测试拓扑

四:

测试过程:

Windows2008NPS服务器的配置;

AC上802.1X认证的配置;

客户端结果测试。

Windows2008NPS服务器的配置

1.1:

ADServer的安装与配置:

配置WindowsAD2008Server,安装AD。

(域名为)

在AD上添加一个新的OU,名称为gome。

添加用户组10vlan,添加用户10vlanuser1,密码,将这个用户隶属于”10vlan”组。

添加用户组20vlan,添加用户20vlanuser1,密码,将这个用户隶属于”20vlan”组。

添加用户组”技术部”,添加用户jishu1,密码,将这个用户隶属于”技术部”

1.2:

NPS的安装与配置:

•添加角色中添加网络策略和访问服务。

•设置好AD做为主域控服务器

•在运行中点击nps.msc

•在Radius客户端中,右键单击新建RADIUS客户端,Windows显示以下对话框。

•设置个名字,并填写Aruba控制器的IP地址。

(在Aruba控制器上同样设置NPS服务器的地址。

•使用标准Radius,共享密钥和AC上设置一致(此处为:

123456789)

•在策略中选择网络策略,通过向导模式完成。

•定义一个便于记忆的策略名称。

• 

添加AD内的组与与访问策略做捆绑。

以后此AD组的用户都将属于此访问策略。

不改变缺省身份验证的类型PAP(PEAP),单击下一步。

•右键点刚才建好的策略,单击“属性”,选择“编辑配置文件”再选择“高级”里的“编辑配置文件”点击“添加”

在出现的列表中选择“vendorspecific”,点击添加。

点击添加。

选择输入供应商代码,输入14823。

选择符合。

点击配置属性。

配置Aruba指派属性号为1。

属性格式字符串。

(属性值即为最终NPS会传给Aruba控制器的用户角色字段。

注意:

在AD上建立的用户,保持缺省的使用NPS网络策略访问即可。

AC上802.1X认证的配置

(Aruba3200)(config)#aaaauthentication-serverradiusht-radius

(Aruba3200)(RADIUSServer"

ht-radius"

)#host192.168.10.111

)#key123456789

)#enable

)#exit

(Aruba3200)#aaatest-servermschapv2ht-radius10vlanuser1

AuthenticationSuccessful

(Aruba3200)(config)#aaaserver-groupht-dot1x-server-group

(Aruba3200)(ServerGroup"

ht-dot1x-server-group"

)#auth-serverht-radius

)#setroleconditionrolevalue-of

(Aruba3200)(config)#aaaauthenticationdot1xht-dot1x-aaa-auth-profile

(Aruba3200)(802.1XAuthenticationProfile"

ht-dot1x-aaa-auth-profile"

)#terminationenable

)#terminationeap-typeeap-peap

)#terminationinner-eap-typeeap-mschapv2

(Aruba3200)(config)#aaaprofileht-dot1x-aaa-profile

(Aruba3200)(AAAProfile"

ht-dot1x-aaa-profile"

)#dot1x-server-groupht-dot1x-server-group

)#authentication-dot1xht-dot1x-aaa-auth-profile

(Aruba3200)(config)#wlanssid-profileht-dot1x-ssid-profile

(Aruba3200)(SSIDProfile"

ht-dot1x-ssid-profile"

)#essidwifi-NPS

)#opmodewpa-tkip

(Aruba3200)(config)#wlanvirtual-ap 

ht-dot1x-vap-profile

(Aruba3200)(VirtualAPprofile"

ht-dot1x-vap-profile"

)#aaa-profileht-dot1x-aaa-profile

)#ssid-profileht-dot1x-ssid-profile

)#vlan10,20 

(Aruba3200)(config)#ap-groupdefault

(Aruba3200)(APgroup"

default"

)#virtual-apht-dot1x-vap-profile

用户角色的定义

(Aruba3200)(config)#ipaccess-listsessionvlan10

(Aruba3200)(config-sess-vlan10)#network192.168.10.0255.255.255.0network10.0.0.0255.0.0.0anydeny

(Aruba3200)(config-sess-vlan10)#network192.168.10.0255.255.255.0anyanypermit

(Aruba3200)(config-sess-vlan10)#anynetwork192.168.10.0255.255.255.0anypermit

(Aruba3200)(config-sess-vlan10)#exit

(Aruba3200)(config)#ipaccess-listsessionvlan20

(Aruba3200)(config-sess-vlan10)#network192.168.20.0255.255.255.0anyanypermit

(Aruba3200)(config-sess-vlan20)#anynetwork192.168.20.0255.255.255.0anypermit

(Aruba3200)(config)#user-roleholtzhangvlan10 

//此角色名需要与AD中传回来的角色属性名称相同

(Aruba3200)(config-role)#vlan10 

(Aruba3200)(config-role)#access-listsessionvlan10

(Aruba3200)(config-role)#exit

(Aruba3200)(config)#user-roleholtzhangvlan20

(Aruba3200)(config-role)#vlan20

(Aruba3200)(config-role)#access-listsessionvlan20

(Aruba3200)(config)#ipaccess-listsessionjishu

(Aruba3200)(config-sess-vlan10)#anyanyany 

permit

(Aruba3200)(config)#user-rolejishu

(Aruba3200)(config-role)#vlan30

(Aruba3200)(config-role)#access-listsessionjishu

客户端测试

配置客户端网卡的wifi-NPS属性,身份验证使用WPA2,加密使用AES;

验证的EAP类型选择使用eap-peap,点击属性,认证方式选择mschapV2;

使用windows登陆用户名和密码进行认证。

测试结果

基础架构测试:

用户连接到wifi-NPS热点:

使用10vlanuser1用户组登陆,可以获取vlan10地址,具有vlan10用户role“holtzhangvlan10”;

使用20vlanuser1用户组登陆,可以获取vlan20地址,具有vlan20用户role“holtzhangvlan20”;

使用”技术部”用户组登陆,可以获取vlan30地址,具有vlan30用户role“jishu”;

五:

测试总结

在实际企业环境中不同类型的用户连接到企业内部的同一SSID可以根据预先设定的策略授权到相应的vlan,并且下发相应的策略。

上篇我们使用LDAP做认证对接,其中对中文OU和Group的支持不好,但2003中的IAS和2008中的NPS对中文OU和Group支持的很好。

而且,使用LDAP不能做到OU中的某些用户组中的用户可以作为认证用户,某些组中的用户不能作为认证用户,而IAS和NPS可以很好的控制那些。

(在IAS或NPS中需要将认证拨入的组加入到IAS或NPS,不需要的组不加入IAS或NPS即可实现)

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 经管营销 > 企业管理

copyright@ 2008-2022 冰豆网网站版权所有

经营许可证编号:鄂ICP备2022015515号-1